阿里云AccessKey泄露以及nacos1.4.2漏洞修复

起因:每隔一段时间阿里云就会报AccessKey泄露了,但是并没有在代码中写AccessKey,后来发现在nacos中多了个新用户,是之前没有添加过的

排查:

1.检查是否开启了鉴权

查看配置文件application.properties

复制代码
# 是否开启授权
nacos.core.auth.enabled=true

开启授权为true,无需修改,排除

2.检查是否使用默认的token.secret.key

复制代码
# 默认访问密钥
nacos.core.auth.default.token.secret.key={需要修改}

也已经修改了(默认值为:SecretKey012345678901234567890123456789012345678901234567890123456789),且使用了默认值构造JWT来调用接口/nacos/v1/auth/users?pageNo=1&pageSize=9,调用失败,证明也不是这个默认值的问题,排除

3.检查是否因为请求头添加了参数User-Agent: Nacos-Server

报权限错误,排除

4.真正原因,默认的serverIdentity和security

就没有修改或者配置这两个值,导致可以使用这两个值来进行新增用户的调用

复制代码
# 这两个值就是个serverIdentity和security,如果没有配置,其默认值也是serverIdentity和security
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=security

尝试调用:

获取用户:调用成功

新增用户:成功

解决方法:设置这两个配置的值,不使用默认值

复制代码
nacos.core.auth.server.identity.key={新的值}
nacos.core.auth.server.identity.value={新的值}

设置了新的值之后:新增用户失败了

至此,解决了

相关推荐
wanhengidc2 小时前
云手机和网盘之间的关系
网络·游戏·智能手机·架构·云计算
亚林瓜子4 小时前
AWS中国云中的ETL之从aurora搬数据到s3(Glue版)
hadoop·spark·云计算·etl·aws
曾经的三心草4 小时前
实验指导-基于阿里云函数计算的简单邮件发送服务 之数据库访问中间件
数据库·阿里云·中间件
Lin_Aries_04214 小时前
通过配置 GitLab 自动触发项目自动化构建与部署
运维·docker·容器·自动化·云计算·gitlab
iconball6 小时前
个人用云计算学习笔记 --15. (Linux 系统启动原理、Linux 防火墙管理))
linux·运维·笔记·学习·云计算
NY66 小时前
腾讯云上TKE集群中通过clb-ingress公网访问到后端服务
云计算·腾讯云
阿里云大数据AI技术7 小时前
云栖2025 | 阿里云AI搜索年度发布:开启Agent时代,重构搜索新范式
人工智能·阿里云·云栖大会·搜索
XINVRY-FPGA8 小时前
XA7A75T-1FGG484Q 赛灵思 Xilinx AMD Artix-7 XA 系列 FPGA
嵌入式硬件·fpga开发·车载系统·云计算·硬件架构·硬件工程·fpga
Lin_Aries_042110 小时前
使用 Jenkins 的流水线项目实施 CI/CD
运维·ci/cd·docker·容器·云计算·jenkins
阿里云云原生10 小时前
让每次语音唤醒都可靠,公牛沐光重构可观测体系
macos·阿里云·重构·xcode·可观测